朝鲜威胁组织ScarCruft利用KoSpy恶意软件监控安卓用户

2025-03-14 125 0

朝鲜威胁组织ScarCruft利用KoSpy恶意软件监控安卓用户插图

据报道,与朝鲜有关的威胁组织ScarCruft开发了一种名为 KoSpy的安卓监控工具,专门针对韩语和英语用户。这是迄今未被发现的恶意软件。

KoSpy的功能与传播途径

网络安全公司Lookout披露了这一恶意软件活动的详细信息,称其最早版本可追溯到2022年3月,最新的样本则在2024年3月被发现。目前尚不清楚此次攻击的成功率如何。

Lookout在分析报告中指出:“KoSpy能够通过动态加载的插件收集大量数据,包括短信、通话记录、位置、文件、音频和截图。”这些恶意软件伪装成Google Play商店中的实用工具应用,使用了诸如“文件管理器”“手机管理器”“智能管理器”“软件更新工具”和“Kakao安全”等名称,诱骗用户下载并感染其设备。

所有被识别的应用都能提供承诺的功能,以避免引起怀疑,同时暗中在后台部署间谍软件相关组件。目前,这些应用已从应用商店中下架。

ScarCruft的背景与演变

ScarCruft,也称为APT27和Reaper,是自2012年以来活跃的朝鲜国家支持的网络间谍组织。该组织发起的攻击链主要利用RokRAT从Windows系统中收集敏感数据。随后,RokRAT被改编用于针对macOS和安卓系统。

安装后的恶意安卓应用会联系Firebase Firestore云数据库,以检索包含实际命令与控制(C2)服务器地址的配置。通过使用Firestore等合法服务作为中转解析器,这种分阶段的C2方法提供了灵活性和弹性,使威胁行为者能够随时更改C2地址并保持隐蔽。

攻击策略与设备验证

Lookout表示:“在检索C2地址后,KoSpy会确保设备不是模拟器,并且当前日期已晚于硬编码的激活日期。”这种激活日期检查确保了间谍软件不会过早暴露其恶意意图。

KoSpy能够下载额外的插件和配置以实现其监控目标。由于C2服务器不再活跃或未响应客户端请求,插件的具体性质尚不明确。

KoSpy的数据收集范围

朝鲜威胁组织ScarCruft利用KoSpy恶意软件监控安卓用户插图1

该恶意软件旨在从受感染的设备中收集广泛的数据,包括短信、通话记录、设备位置、本地存储中的文件、截图、击键记录、Wi-Fi网络信息以及已安装应用程序的列表。它还具备录音和拍照功能。

攻击组织间的关联

Lookout表示,KoSpy活动的基础设施与另一个朝鲜黑客组织Kimsuky(又名APT43)此前发起的攻击存在重叠。

npm包中的恶意软件

此次披露的同时,Socket发现了一组六个npm包,旨在部署一款名为BeaverTail的已知信息窃取恶意软件。该软件与朝鲜名为Contagious Interview的持续活动有关。以下是已被删除的软件包列表:

  • is-buffer-validator
  • yoojae-validator
  • event-handle-package
  • array-empty-validator
  • react-event-dependency
  • auth-validator

恶意软件的目标与策略

这些软件包旨在收集系统环境详细信息,以及存储在Google Chrome、Brave和Mozilla Firefox等浏览器中的凭证。它还针对加密货币钱包,提取Solana的id.json和Exodus的exodus.wallet。

Socket研究员Kirill Boychenko表示:“这六个新包共被下载超过330次,它们密切模仿广泛受信任库的名称,采用了与Lazarus相关的威胁行为者常用的拼写错误(typosquatting)策略来欺骗开发人员。”

朝鲜活动的扩展

此外,还发现了一项新活动,利用名为RustDoor(又名ThiefBucket)的基于Rust的macOS恶意软件和此前未记录的Koi Stealer家族变种针对加密货币行业。

攻击链与目标

Palo Alto Networks Unit 42表示,攻击者的特征与Contagious Interview相似,并以中等信心评估认为该活动是代表朝鲜政权进行的。

攻击的最终阶段

朝鲜威胁组织ScarCruft利用KoSpy恶意软件监控安卓用户插图2

感染的最终阶段涉及检索并执行另一个有效载荷,即冒充Visual Studio的macOS版Koi Stealer。这诱骗受害者输入系统密码,从而允许其从设备中收集并外泄数据。

安全风险与警示

安全研究人员Adva Gabay和Daniel Frank表示:“此次活动突显了全球组织面临的风险,这些风险来自旨在渗透网络并窃取敏感数据和加密货币的精心设计的社会工程攻击。”

参考来源:

North Korea’s ScarCruft Deploys KoSpy Malware, Spying on Android Users via Fake Utility Apps

相关文章:

  1. 停止争论,立即行动:网络安全需要明确领导权
  2. 身份管理:网络安全的新战场
  3. 微软揭露全球恶意广告攻击活动 超百万设备受感染
  4. DevOps生命周期的8个阶段和DevOps pipeline 详解
  5. 展望网络安全前沿:2025年的关键预测

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

4A测评 4A测评
网络安全
0 0

相关文章

红队APT基础 | 钓鱼邮件的制作与SPF绕过(一)
新型BPFDoor控制器组件助力攻击者在Linux服务器中实现隐蔽横向移动
WordPress热门插件SureTriggers曝高危漏洞,4小时内遭大规模利用
虚假PDFCandy网站通过谷歌广告传播恶意软件
打靶日记——Brainpan1
emlog2.5.3代码审计(后台文件上传漏洞)

发布评论